Hallo Michael, At 30.01.2002, Michael Pahle wrote: > Am Mittwoch, 30. Januar 2002 00:15 schrieb Guido Hennecke: > > Wie ist dein Netz denn aufgebaut? Bitte beschreibe das mal so knapp und > > vollstaendig, wie es dir moeglich ist. > Server (Woody) mit zwei 10/100 Netzwerkkarten. Eine DSL und eine an einen > 5fach 10/100 Switch. FYI: Solltest Du noch eine aeltere 10 MBit/s Netzwerkkarte haben, die reicht fuer den Anschluss am DSL Modem. Mehr geht da eh nicht. > Daran ein HP Laserjet 4l Plus, über den alle Clients drucken sollen (und > inzwischen auch können ;-)) > Clients: > Mein PC mit Sid > Mein Schleppi mit SuSE 7.3/WinME > Der Schleppi meiner Frau WinME > Der PC meiner Tochter WinME + eigener Canon 450S Waere es fuer dich eine Option, deinen PC als Server fuer Druckerdienste etc. zu benutzen anstatt den DSL Router? Das waere schon von Vorteil. > IPs: > 127.0.0.1 localhost Ach? ;-) > 192.168.6.2 pc.mima.de pc > 192.168.6.3 martina.mima.de martina > 192.168.6.4 notebook.mima.de notebook > 192.168.6.5 judith.mima.de judith > 192.168.6.11 debbi.mima.de debbi Gut und das ganze an einem HUB? > > Dann bitte mal die Ausgabe von: > > netstat -ln > debbi:/home/michael# netstat -ln > Aktive Internetverbindungen (Nur Server) Eine Bitte: Kannst Du in Zukunft solche Ausgaben in der englishen Version erzeugen? > Proto Recv-Q Send-Q Local Address Foreign Address State > tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:9 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:79 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:947 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN > tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN > udp 0 0 0.0.0.0:32768 0.0.0.0:* > udp 0 0 0.0.0.0:2049 0.0.0.0:* > udp 0 0 0.0.0.0:517 0.0.0.0:* > udp 0 0 0.0.0.0:518 0.0.0.0:* > udp 0 0 192.168.6.11:137 0.0.0.0:* > udp 0 0 0.0.0.0:137 0.0.0.0:* > udp 0 0 0.0.0.0:9 0.0.0.0:* > udp 0 0 192.168.6.11:138 0.0.0.0:* > udp 0 0 0.0.0.0:138 0.0.0.0:* > udp 0 0 127.0.0.1:32780 0.0.0.0:* > udp 0 0 0.0.0.0:783 0.0.0.0:* > udp 0 0 0.0.0.0:10000 0.0.0.0:* > udp 0 0 0.0.0.0:944 0.0.0.0:* > udp 0 0 0.0.0.0:111 0.0.0.0:* > udp 0 0 0.0.0.0:631 0.0.0.0:* Was fuer eine Liste! Die musst Du Zeile fuer Zeile durchgehen. Zunaechst schau dir bitte mal die /etc/inetd.conf an. Steht nda irgendwas drin, was Du brauchst? Wenn nicht, setze an den Anfang jeder Zeile ein "#" Und starte den inetd neu. Dann folgende Fragen: Du bietest ssh fuer alle an. Soll das auch aus dem Internet moeglich sein? Nein? Dann bitte folgende Konfiguration in /etc/ssh/sshd_config vornehmen: ListenAddress <interne ip adresse> Danach /etc/init.d/ssh restart Willst Du einen FTP Server anbieten? Wenn nein, deinstalliere den installierten FTP Server. Wenn ja, willst Du den auch im Internet anbieten? Wenn nein, welcher FTP Server ist das? Du bietest einen Mailserver an. Brauchst Du den? wenn ja, soll der auch aus dem Internet Mails annehmen? Wenn nein, welcher Mailserver laeuft da? Du bietest einen HTTP Server an. Wie Du schon geschrieben hast, fuer Webmin. Wenn Webmin nur aus dem internen Netz funktionieren soll, dann konfiguriere folgendes in /etc/apache/http.conf: Listen <interne ip adresse>:80 Danach /etc/init.d/apache restart Du hast einige RPC Dienste laufen. Ist dieser Server ein NFS Server? Wenn ja, ist es das Beste, diesen Dienst auf einen internen Rechner zu verlagern. Das solltest Du nicht auf einem Borderrouter laufen lassen. Wenn nein, deinstalliere die NFS Pakete und stoppt den Portmapper /etc/init.d/portmap). Du bietest einen Telnetserver an. Dies ist nicht notwendig. Es gibt ssh Clients fuer viele Betriebssysteme und ssh hast Du schon laufen. Deinstalliere das Paket telnetd. Hast Du das alles gemacht, bitte nochmal die Ausgabe von "netstat -ln" hier posten und bei Ports bei denen Du nicht weisst, welches Programm dort horcht, kannst Du das mit "lsof -Pi | grep <portnummer>" herrausfinden. Bitte Poste ruhig die Ergebnisse. Du scheinst aber auch so ziemlich jedes Paket installiert zu haben. Ist es nicht so? Normalerweise geht man so vor, dass man nur das installiert, was man unbedingt braucht und nicht einfach mal so irgendwas. > > Am Ende steht (hoffentlich) fuer dich ein sicher konfiguriertes System > > ganz ohne Firewall. > Das find ich nun aber interessant! > Bin mal gespannt :-) Ist einfach eine einfache Sache. Ein Dienst, der nicht laeuft, kann auch nicht angegriffen werden. Ein Dienst, der nicht im Internet angeboten wird, kann nicht ohne Weiteres aus dem Internet angegriffen werden. Aber dazu kommen wir im naechsten Schritt. Gruss, Guido -- - Diese Aussage ist sinnlos, da "oft" keine wissenschaftliche Aussage beinhaltet. (FvL in de.comp.os.unix.discussion) Deshalb schrieb ich "meistens". (FvL in de.comp.os.unix.discussion)
Attachment:
pgpnIxdAKYgcv.pgp
Description: PGP signature